Wechseln zu:Navigation, Suche
Wiki
(Die Seite wurde neu angelegt: „{{v11}} == IPSec-Tunnel in Verbindung mit Multipathrouting == === Einleitung === Zu gunsten der Performance und auch als Ausfallsicherheit setzen viele Firmen …“)
 
Keine Bearbeitungszusammenfassung
 
(9 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 1: Zeile 1:
{{v11}}
== IPSec-Tunnel in Verbindung mit Multipathrouting ==
== IPSec-Tunnel in Verbindung mit Multipathrouting ==
=== Einleitung ===
=== Einleitung ===
Zu gunsten der Performance und auch als Ausfallsicherheit setzen viele Firmen mittlerweile auf ein Multipathrouting, also mehrere Internetleitungen an einer Firewall. Im folgenden lernen Sie, was Sie bei einem solchen Aufbau in Verbindung mit einem oder mehrerer IPSec-Tunnel beachten müssen.
Zu gunsten der Performance und auch als Ausfallsicherheit setzen viele Firmen mittlerweile auf ein Multipathrouting, also mehrere Internetleitungen an einer UTM. Im folgenden lernen Sie, was Sie bei einem solchen Aufbau in Verbindung mit einem oder mehrerer IPSec-Tunnel beachten müssen.


=== Ausgangssituation ===
=== Ausgangssituation ===
In unserem Beispielszenario existiert eine UTM mit einem IPSec-Site-to-Site-Tunnel zu einer Außenstelle. Die Securepoint ist über eine Leitung (ppp0) mit dem Internet verbunden.  
In unserem Beispielszenario existiert eine UTM mit einem IPSec-Site-to-Site-Tunnel zu einer Außenstelle (firma.spdns.de). Die Securepoint ist über eine Leitung (ppp0) mit dem Internet verbunden. Zukünftig soll nun eine weitere Internetleitung an die UTM angebunden werden, über welche der IPSec-Tunnel aufgebaut werden soll.


[[Datei:multipathrouting_ipsec_aufbau.png| center| thumb| 900px| <font size=2></font>]]
[[Datei:multipathrouting_ipsec_aufbau.png| center| thumb| 900px| <font size=2></font>]]


=== Nötige Einstellungen ===
=== Nötige Einstellungen ===
Um festzulegen, über welche Internetverbindung ein Tunnel aufgebaut werden soll, muss im Endeffekt nur die Phase 1 der IPSec-Verbindung entsprechend angepasst werden. Hier sind besonders die Felder "lokales Gateway" und "Route Over" interessant. Das lokale Gateway ist, wie der Name schon sagt, das lokale Gateway der Internetverbindung, als beispielsweise die ppp1 bzw die eth2. Der Wert Route Over bezieht sich auf das Gateway des lokalen Gateways. Im Folgenden werden Ihnen zwei typische Beispiele erklärt.
Um festzulegen, über welche Internetverbindung ein Tunnel aufgebaut werden soll, muss im Endeffekt nur die Phase 1 der IPSec-Verbindung entsprechend angepasst werden. Hier sind besonders die Felder "lokales Gateway" und "Route Over" interessant. Das lokale Gateway ist, wie der Name schon sagt, das lokale Gateway der Internetverbindung, über die der Tunnel laufen soll, also beispielsweise die ppp1- bzw die eth2-Schnittstelle. Der Wert Route Over bezieht sich auf das Gateway des lokalen Gateways. Im Folgenden werden Ihnen zwei typische Beispiele erklärt und auch die beiden eben genannten Einträge genauer erläutert.


==== Anwendungsfall 1: Weitere PPPoE-Leitung ====
==== Anwendungsfall 1: Weitere PPPoE-Leitung ====
Der erste mögliche Fall, eine weitere Leitung anzubinden, besteht darin, neben der ppp0 eine weitere ADSL-Verbindung anzuschließen. Wie Sie die zweite PPPoE-Leitung konfigurieren entnehmen Sie bitte [[Konfiguration_PPPoE_UTMV11#PPPoE_Konfiguration| dieser Anleitung]].
Der erste mögliche Fall, eine weitere Leitung anzubinden, besteht darin, neben der bereits vorhandenen Internetverbindung (ppp0) eine weitere ADSL-Verbindung anzuschließen. Wie Sie die zweite PPPoE-Leitung konfigurieren entnehmen Sie bitte [[Konfiguration_PPPoE_UTMV11#PPPoE_Konfiguration| dieser Anleitung]].


===== Konfiguration mit ADSL =====
==== Konfiguration mit ADSL ====
Im Falle von ADSL als zweite Leitung sieht unsere Netzwerkkonfiguration wie folgt aus:
Im Falle von ADSL als zweite Leitung sieht unsere Netzwerkkonfiguration wie folgt aus:
<br>
<br>
Zeile 22: Zeile 21:
In diesem Falle muss die Phase 1 der IPSec-Verbindung so aussehen:
In diesem Falle muss die Phase 1 der IPSec-Verbindung so aussehen:
<br>
<br>
[[Datei:multipathrouting_ipsec_aufbau_ppp1_ipsec.png| center| thumb| 700px| <font size=2></font>]]
[[Datei:multipathrouting_ipsec_aufbau_ppp1_ipsec.png| center| thumb| 400px| <font size=2></font>]]
<br>
<br>


==== Anwendungsfall 2: Weitere SDSL-Leitung ====
==== Anwendungsfall 2: Weitere SDSL-Leitung ====
Der zweite mögliche Fall, eine weitere Leitung anzubinden, besteht darin, neben der bereits vorhandenen ppp0 eine SDSL-Leitung anzuschließen. In diesem Fall haben Sie eine öffentliche IP auf dem Interface und ein vorgegebenes Gateway für diese Leitung.
Der zweite mögliche Fall, eine weitere Leitung anzubinden, besteht darin, neben der bereits vorhandenen ppp0 eine SDSL-Leitung anzuschließen. In diesem Fall haben Sie eine öffentliche IP auf dem Interface und ein vorgegebenes Gateway für diese Leitung. Die Gateway-IP ist die IP, die im Feld "Route-Over" eintragen werden muss.


===== Konfiguration mit SDSL =====
==== Konfiguration mit SDSL ====
 
Im Falle von SDSL als zweite Leitung sieht unsere Netzwerkkonfiguration wie folgt aus:
 
<br>
 
[[Datei:multipathrouting_ipsec_netzwerkconfig_eth2.png| center| thumb| 700px| <font size=2></font>]]
 
<br>
=== Lösung ===
In diesem Falle muss die Phase 1 der IPSec-Verbindung so aussehen:
==== Netzwerkkonfiguration ====
<br>
In der UTM wird nun die zweite Leitung hinzugefügt. Schließen Sie die Leitung an das entsprechende Interface (in unserem Beispiel eth2) an und richten Sie die Schnittstelle im Webinterface der UTM entsprechend ein. Beachten Sie hierbei, dass Sie die Zonen vpn-ipsec und firewall-vpn-ipsec auf die Schnittstelle legen.
[[Datei:multipathrouting_ipsec_aufbau_eth2_ipsec.png| center| thumb| 400px| <font size=2></font>]]
<br> Statt einer Default-Route für diese Leitung, wird nun eine Source-Route angelegt. Die Quelle in dieser Source-Route entspricht der IP auf der (in unserem Beispiel) eth2.
<br>
[[Datei:multipath_ipsec_routen_v11.png| center| thumb| 550px| <font size=2>Routen für das Beispielszenario</font>]]
 
==== IPSec-Einstellungen ====
In der Phase 1 Ihres IPSec-Tunnels müssen die Einträge '''lokales Gateway''' und '''Route-Over''' entsprechend gesetzt werden. Das '''lokale Gateway''' entspricht der IP auf der eth2 und die '''Route-Over''' dem Gateway dieses IP-Netzes.
 
[[Datei:multipath_ipsec_tunnel_settings.png| center| thumb| 550px| <font size=2>Einstellungen in der Phase 1</font>]]
 
=== Ergebnis ===
Durch die Source Route für die zweite Leitung werden nur die IPSec-Verbindungen über diese Verbindung geleitet. Das Surfen der User, sowie sämtliche Dienste der UTM, wie z.B. DNS, werden weiterhin über die default-Route, also über die ppp0 geleitet.

Aktuelle Version vom 21. Dezember 2016, 16:19 Uhr

IPSec-Tunnel in Verbindung mit Multipathrouting

Einleitung

Zu gunsten der Performance und auch als Ausfallsicherheit setzen viele Firmen mittlerweile auf ein Multipathrouting, also mehrere Internetleitungen an einer UTM. Im folgenden lernen Sie, was Sie bei einem solchen Aufbau in Verbindung mit einem oder mehrerer IPSec-Tunnel beachten müssen.

Ausgangssituation

In unserem Beispielszenario existiert eine UTM mit einem IPSec-Site-to-Site-Tunnel zu einer Außenstelle (firma.spdns.de). Die Securepoint ist über eine Leitung (ppp0) mit dem Internet verbunden. Zukünftig soll nun eine weitere Internetleitung an die UTM angebunden werden, über welche der IPSec-Tunnel aufgebaut werden soll.

Nötige Einstellungen

Um festzulegen, über welche Internetverbindung ein Tunnel aufgebaut werden soll, muss im Endeffekt nur die Phase 1 der IPSec-Verbindung entsprechend angepasst werden. Hier sind besonders die Felder "lokales Gateway" und "Route Over" interessant. Das lokale Gateway ist, wie der Name schon sagt, das lokale Gateway der Internetverbindung, über die der Tunnel laufen soll, also beispielsweise die ppp1- bzw die eth2-Schnittstelle. Der Wert Route Over bezieht sich auf das Gateway des lokalen Gateways. Im Folgenden werden Ihnen zwei typische Beispiele erklärt und auch die beiden eben genannten Einträge genauer erläutert.

Anwendungsfall 1: Weitere PPPoE-Leitung

Der erste mögliche Fall, eine weitere Leitung anzubinden, besteht darin, neben der bereits vorhandenen Internetverbindung (ppp0) eine weitere ADSL-Verbindung anzuschließen. Wie Sie die zweite PPPoE-Leitung konfigurieren entnehmen Sie bitte dieser Anleitung.

Konfiguration mit ADSL

Im Falle von ADSL als zweite Leitung sieht unsere Netzwerkkonfiguration wie folgt aus:


In diesem Falle muss die Phase 1 der IPSec-Verbindung so aussehen:


Anwendungsfall 2: Weitere SDSL-Leitung

Der zweite mögliche Fall, eine weitere Leitung anzubinden, besteht darin, neben der bereits vorhandenen ppp0 eine SDSL-Leitung anzuschließen. In diesem Fall haben Sie eine öffentliche IP auf dem Interface und ein vorgegebenes Gateway für diese Leitung. Die Gateway-IP ist die IP, die im Feld "Route-Over" eintragen werden muss.

Konfiguration mit SDSL

Im Falle von SDSL als zweite Leitung sieht unsere Netzwerkkonfiguration wie folgt aus:


In diesem Falle muss die Phase 1 der IPSec-Verbindung so aussehen: